1. 引言
在电子商务活动中,作为世界数据贸易大国,我国数据跨境流动的情况是频繁且影响重大的。跨境电商是以科技创新为驱动的,跨境电商在贸易中能够减少中间环节、直达消费者,有利于促进外贸结构优化、规模稳定。我国在数据跨境流动方面存在诸多挑战,一是在数据跨境流动的全球治理体系尚未形成的情况下,欧盟的《通用数据保护条例》(General Date Protection Regulation,以下简称GDPR)规则体系和以美国为代表的规则体系对全球数据跨境流动治理方面存在重大影响,中国需要形成有利于自己数据跨境流动的话语体系,得到与我国数据总量相符合的国际话语体系;二是数据跨境流动的国内保护方面,如何衡量数据跨境流动的保护,数据的本地化程度应该保持在何种程度,是我国目前以及未来需要继续考虑并作出抉择的关键问题,如果数据本地化程度高,将不利于数据贸易的发展,也可能会导致国内高科技产业的停滞不前,如俄罗斯,我们必须认识到如果数据本地化程度低,将不利于国家安全、公共利益和个人隐私的保护;三是数据跨境流动中对数据的分类不明确会影响实际相应机关执法的不明确性等问题。由此,数据跨境流动产生的问题以及其本身所蕴含的价值等方面都值得探索和讨论。
2. 电子商务下数据跨境流动法律发展与监管
2.1. 我国数据跨境流动法律规制的发展
从涉及数据跨境流动的相关法律和部门规章的出台,可看出我国在对数据跨境流动的规制逐渐完善。2024年是习近平总书记提出网络强国战略目标10周年,是中国全功能接入国际互联网30周年,也是中国网络法治建设起步30周年。2014年10月发布的《中共中央关于全面推进依法治国若干重大问题的决定》中强调,加强互联网领域立法,完善网络信息服务、网络安全保护、网络社会管理等方面的法律法规。此后,我国的《网络安全法》在经过几轮讨论与公开征集社会意见后于2016年11月7日公布,2017年6月1日施行;《电子商务法》也随着电子商务的猛烈发展而快速在2018年8月31日出台,并于2019年1月1日起施行;在电子商务发展过程中以及在大数据不断成为新经济核心来源时,对数据安全的关注加快了《数据安全法》出台的速度,因此该法律于2021年6月10日颁布,2021年9月1日实施;随之而来的就是2021年8月20日颁布,并于当年11月1日施行的《个人信息保护法》,这是对个人信息保护的进一步重申;又如国家互联网信息办公室分别在2021年12月28日和2022年7月7日发布的《网络安全审查办法》《数据出境安全评估办法》等专门部门规章的出台,这一系列法律、行政法规、部门规章针对数据跨境流动不同领域治理问题进行了规制。国家网信办2024年3月22日公布和施行的《促进和规范数据跨境流动规定》,旨在对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的施行进行调整,这个规定不仅仅是为了保障我国数据跨境安全流动,还是为了保护个人信息正当权益得到应有的保障,并最终促进数据在国际贸易中依法有序流动。2020年,我国加入了《全球数据安全倡议》,并加入了《区域全面经济伙伴关系协定》。2022年我国《数据出境安全评估办法》出台后,该办法在《网络安全法》《数据安全法》《个人信息保护法》对数据跨境流动规制的具体情形下进一步细化了数据监管机制的主体法律框架。从横向层面来看,我国已经建立起针对数据跨境流动比较完备的法律规制体系。对数据跨境流动的规制,具有深远的实践意义和实践价值。
2.2. 我国数据跨境流动的法律监管
在电子商务发展过程中,产生了比以往几千年加起来更多的数据。而数据信息也越来越成为每一个国家经济发展、国家安全等领域中重要的资源。在数字经济的冲击下,电子商务的发展成为常态,随之而来的便是常态化的数据流动,数据逐渐成为经济和社会发展的重要资源,因此对数据跨境流动的监管也变得越发重要。符合规定情形的重要数据出境需要经过安全评估。数据跨境流动管理的基础是区别重要数据和非重要数据。
国家网信部门等是我国数据跨境流动的监管主体。根据《网络安全法》第8条、《数据安全法》第44条、《个人信息保护办法》第六章第60条、第61条等法律条文以及《数据出境安全评估办法》等部门规章规定,国家网信部门在数据跨境流动领域的职责是负责统筹协调网络安全和相关监管工作,承担确保数据安全、促进数据开发利用、保护个人和组织合法权益的职责。电信主管部门的职责包括但不限于“推进电信普遍服务”、“协调管理相关网络与信息安全技术平台”、“配合打击网络犯罪”等具体工作。在配合打击网络犯罪上,电信主管部门需要负责网络安全防护、应急管理和处置,并配合公安机关等相关部门开展特殊通信工作以及网络环境和信息治理等相应的工作。
我国数据跨境流动的监管对象主要是掌握大量用户个人信息的网络平台运营者和关键信息基础设施的运营者这两个关键对象,从以下法律条文的具体规定中可以看出来。我国《网络安全审查办法》第10条规定了审查的重要评估要素,核心在于国家安全风险。《网络安全审查办法》中将启动网络安全审查的方式主要分为两类,一类是当事人主动申报,另一类是国家网络安全审查机制成员单位依职权启动。值得注意的是在《网络安全审查办法》第7条还特别规定,网络平台运营者如果想到国外上市,如果其掌握个人信息规模超过100万用户,那么必须申报网络安全审查,网络安全审查办公室审查过后,认为其泄露信息风险较低或者不存在泄露消息,安全指数较高才会允许其赴国外。虽然该条规定似乎旨在免除赴港上市的运营者主动申报网络安全审查的义务,但由于《网络安全审查办法》明确了网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当进行网络安全审查。在电子商务数据跨境流动管理规范中,《网络安全法》第37条发挥了不可替代的作用。在《网络安全法》后续出台的《数据安全法》《个人信息保护法》中对于数据跨境流动管理制度的完善,都是以《网络安全法》第37条为基础,不断厘清、确定与自身立法目标相适应的数据跨境流动管理制度。《数据安全法》第31条规定了关键信息技术设施运营产生的重要数据的出境安全管理,同时还规定了具体对应的管理部门(即国家网信部门会同国务院有关部门)。《个人信息保护法》第4条第二款规定,个人信息的“处理”包括“收集”、“存储”、“使用”、“加工”等。但是,不论是《个人信息保护法》第40条还是《网络安全法》第37条,都只规定了境内储存而非境外处理。从文义解释的角度,企业仅需将相关数据存储在境内,而无须将处理数据的网络系统、硬件设备也部署在境内,这也从侧面证明了当前许多跨国公司在电子商务贸易中集中IT管理,境外供应商暂时不可替代等现实情况。《个人信息保护法》第40条第二句主语缺省,说明与第一句主语相同(即均为“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者”)。在两句共用一个主语的情况下,主语的定义和范围都应该相同。而作为第二句的落地细则《数据安全评估办法》已经生效,其中关于“规定数量”已经明确,应参照适用。纵观我国网络安全审查、关键信息基础设施安全保护、重要数据识别等立法体系,“100万人”都是一个重要的参考标尺,体现了立法者对“量变–质变”风险的一致认知。《个人信息保护法》不单单是一个民事权益保护法,数据本地化和数据出境制度还有这些制度背后的国家主权、安全以及资源都是立法目的。《数据处境安全评估办法》第4条明确规定了四种应当开展安全评估的情形。未落入第4条任一种情况的,即可以不进行安全评估,而适用《个人信息保护法》第38条第一款第(二)、(三)、(四)项出境路径。以上法律条文中对数据跨境流动的规制对象都是集中在关键信息基础设施运营者和掌握大量用户个人信息的网络平台运营者。
在跨境电商贸易中,全球大型跨境电商平台发挥了重要的作用,大型跨境电商平台通过互联网跨境传输和处理信息,构建了跨境电商经营者的世界用户网络,这有助于降低交易成本、实现商业扩张[1]。中国作为世界人口资源众多的国家,电子平台在中国的发展蒸蒸日上的同时,不可否定的是企业跨境信息流动是一把双刃剑,其中的负面性影响是任何一个国家需要去思考及避免的,如对个人隐私的侵害、对国家安全以及影响经济下滑都。其中,个人数据的利用与流动成为电子商务贸易的重要环节。电子商务运营平台通过掌握运用大数据、AI、云计算等新兴技术对消费者的爱好、厌恶、近期需求、远期需求等进行分析,可以在很大程度上形成针对消费者个人的精准消费清单。根据市场研究公司IDC发布的《2019年数字宇宙(Digital Universe)研究报告显示》,个人数据在数据总量中占比最大,到2020年这一占比将超过85% [2]。我国《电子商务法》第23条的规定将《个人信息保护法》相关内容衔接起来了。电子商务经营者必须遵守有关个人信息保护法律法规,目前由于互联网和相关数据技术的发展,有关个人信息、隐私信息在网络时代的获取、收集、加工变得非常便捷,通过大数据技术便可以非常方便地对个人信息进行加工处理,从而对个人进行画像或信息验算,这种个人信息的滥用直接对公民个人人身和财产安全产生了极大的威胁。因此《电子商务法》和《个人信息保护法》以及《民法典》《刑法》等相应法律体系对跨境电商营业者等对象进行规制是必要的。我国目前对个人信息保护的法律、法规及规章是很多的,虽然个人隐私保护的体系宏大,但是在个人隐私保护领域中关于个人隐私保护具体要件规定的模糊与个人隐私保护的规范体系还不够完整,这两个方面的问题实际上阻碍了个人信息保护的法律、法规规章等在实际案例中的正确应用。上述问题的一个具体表现就是即便在我国理论体系相对其他法律成熟的民法,在面对个人信息保护与隐私权保护的关系时仍旧存在诸多的争议。而上述问题在跨境电商中亦是如此,甚至更为复杂。数据跨境流动与个人隐私紧密相关,大数据作为社会改造工具以牺牲个人权利为代价又有沦为数据控制者专项特权的趋势[3]。在我国相关法律法规对数据跨境流动时,对关键信息基础设施运营者和相关的网络平台运营者进行相应要求是必要的。
2.3. 国际贸易规则在跨境数据规则方面的发展
欧盟的GDPR数据流动规制模式主要是严格个人数据保护,美国在数据跨境流动规制模式上提倡的是自由数据流动。从各个国家和相应的国际贸易组织具体的数据流动保护措施出发,如澳大利亚的严格保护个人数据的国内措施、印度的数据法律措施和政府态度不一致的数据流动规制制度以及《区域经济伙伴关系协定》(Regional Comprehensive Economic Partnership,以下简称RCEP)模式下数据跨境流动规制不同于欧美模式的措施。
跨境数据流动是全球化背景下国际贸易往来的必然产物。美国在与其他国家的FTA谈判上长期居于主动地位,借助“一揽子”协议塑造美国与其他国家在规则上的“制定–接受”关系,借此开拓数字边疆[4]。2018年2月,美国国会引入了《澄清域外合法使用数据法案》(Clarifying Lawful Overseas Use of Date Act,简称为CLOUD法案),该法案旨在提高执法过程中获取国界存储数据的能力,对包括2013年底开始的微软与美国政府之间境外数据令状案在内的执法困境作出立法回应。在欧盟在没有相应的法规或者欧盟区域内存在的规则还不足以应对数据跨境流动问题,另一边欧盟面临的问题是美国在数据跨境流动方面的方案在欧盟美国合作过程中已经严重威胁到欧盟的话语权,这个具体情况对欧盟来说是一个不小的压力。为了应对这个压力,也是为了保护欧盟区域内的数据安全和数字产业的发展,如果欧盟在与美国的合作、贸易过程中过于主动向美国建立的数据体系靠拢,虽然可以背靠大树好乘凉,借机发展欧盟的数据产业,但是也存在欧盟本身的数据安全将会受到来自美国的威胁。因此,欧盟经过考虑,推出了属于自己的GDPR体系规则,强化欧盟在国际数据资源发展中的控制权。欧盟的GDPR表现出的特征是对涉及跨国公司内部机构数据跨境的流动设置了高于一般国家规则的门槛。欧盟GDPR对个人信息权保护高度重视,在欧盟侵犯个人信息将会受到非常严格的处罚,这和其传统的立法理念是一脉相传的。欧盟的数据治理模式与欧洲传统注重权益保护的历史是一致的。欧盟目前在大型互联网企业发展方面不如美国和我国,因此欧盟能够采取最适合自己区域发展的方法即是设定一个严格的数据流动规则,并运用该规则将数据资源尽可能控制在欧盟这个区域内,并借此机会希望欧盟内部的互联网企业可以得到一波迅猛发展,从而实现扭转欧盟数字经济产业发展相对于能源密集型工业发展失衡的局面。
3. 电子商务下数据跨境流动面临的挑战
3.1. 数据跨境流动行政执法压力大
1. 数据跨境流动监管存在障碍
今年5月,国家互联网信息办公室发布的《数字中国发展报告(2022年)》显示,2022年我国数字经济规模达50.2万亿元,同比名义增长10.3%,占国内生产总值比重提升至41.5%。在数据跨境流动监管方面存在如下问题:一是当前数据跨境领域的规则相对而言比较宏观,各地区、各行业主管部门在数据安全的边界、安全体系的评估及等级认定、违规责任认定等方面的考虑并不相同;二是数据跨境流动规则落地后的过渡期存在一定的空白或不足,数据跨境合规和审批要求的预期并不够明确也是需要关注的重点。数据也属于企业资产的一部分,监管机关对于企业创建和拥有的数据情况需要有一个清晰的了解。对于有可能产生的数据风险监管机关还需要做到心中有数,对于有着直接标识的数据,一旦泄露引发的影响也是巨大的。对跨境数据流动的合规审查亦是一个巨大的任务。滴滴全球股份有限公司(以下简称滴滴公司) 2022年7月21日受到了80.26亿元的巨额罚款,该公司从上市到退市时间不到一年且受到重罚,滴滴公司数据合规层面出现的16项违法事实使得公司在移动出行一度的强劲发展势头遭受重挫[5]。滴滴公司存在16项违法处理个人信息的事实,包括收集个人信息、过度收集个人信息、超越权限处理个人信息、违法个人信息处理目的等,具体表现在:违法收集用户手机相册中的截图信息1196.39万条;过度收集用户剪切板信息、应用列表信息83.23亿条;过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92亿条、职业信息1633.56万条、亲情关系信息138.29亿条、“家”和“公司”打车地址信息1.53亿条等。我国目前的数据总量非常庞大,但是也正是因为这个庞大的数据量,对数据的监管是一个具有挑战的工作。
2. 数据跨境流动处罚后果不如意
在数据跨境流动领域,行政主体对科技巨头的罚金对于其具体营收来说只是杯水车薪,甚至相应的大型跨国科技企业已经将罚款数额作为估算纳入了成本预算中,这可能导致的结果是行政机关对科技巨头的罚款并不足以触及其关键利益。而与数据跨境流动监管机关相比,大型企业具有强大的资源支撑,这个优势可以保护大型企业在遭受到较为严格的行政处罚时更换新的营销方式,利用其他途径来快速补充损失部分。虽然行政监管的严格性存在,在数据跨境流动领域的行政拨款逐年增加,但和大型科技企业相比起来并不是很多。另一方面,公民对数字平台以及各种APP的依赖性在一定程度上远远超过了对自己个人信息权利的保护,这也间接导致了在数据跨境流动中,数据监管可能会存在缺失的情况。
3.2. 数据跨境流动的救济途径效率低、规范多
1. 传统纠纷解决程序对于数据跨境流动纠纷来说过于复杂
传统的诉讼程序随着数字时代的到来、电子纠纷的爆发、处理纠纷效率需求的增加对其产生了严重的冲击。诉讼本身是为了解决社会问题,同时也是为了社会正义的实现与保障。但是从诉讼程序角度来看,从起诉到诉讼终结,期间需要经过许多期间,即便采用新方式,许多在线诉讼的推进可能在一定程度上缓解了线下诉讼的复杂性,但是法律严谨性本身对于线上诉讼的要求,即便简化了诉讼的相关流程,如在线诉讼中的无纸化办案模式,缩短了卷宗流转、送达和庭审记录的时间;庭前会议和证据交换可以等程序可以在线上进行,可以大幅度减少诉讼中的程序事务。但是即便这些方面时间的缩短,对于大量的电子纠纷问题的解决来说,无异于杯水车薪。
2. 数据跨境流动事后救济国内外涉及的相关规范多
数据的价值在于流动,而对于流动的数据进行规制是数据治理的核心,也是国家及地区间进行合作或博弈的重要问题[6]。因此,不同的国家在根据本国不同于他国的具体国情制定的数据跨境流动规制条款的同时,也在构建有利于本国数据跨境流动规则体系。对于国内法院、仲裁机构等解决跨境电子纠纷来说,跨境电子纠纷的解决涉及了几个国家之间法律的选择适用问题,加上其中涉及的个人隐私侵权、国家安全、行政规则等方面的问题决定了这种案子的复杂性不适用线上诉讼程序。民法领域的冲突法以双边方法为主,公法领域的以单边方法为主。在跨境电子纠纷中,在萨维尼语境下,私法当然具有域外效力,可以域外适用。但对于公法能否域外适用,目前学界存在诸多争议,有的学者认为公法具有鲜明的属地性特征,因而产生了公法禁忌、公法无域外效力的观点。有的学者认为可以对公法属地性进行突破,推定公法具有域外效力。在这种矛盾的观点和局面下,跨境数据流动纠纷这种民事关系的主体、客体或者内容势必会涉及外国元素,对外国法的查明和适用以及公共秩序保留等问题是救济机关在处理相关案件中达到确保涉外交易的合法性和有效性的重点。如何处理跨境数据流动纠纷是我国法院等机关在跨境数据流动究竟途径上需要特别谨慎的地方。目前,数据跨境流动规制的主要方法是将相应的规制条件放入单边或者多边协定中,如《美国–墨西哥–加拿大协定》(即美墨加协定)、GDPR、RCEP等。这些自贸协定中都对数据跨境流动做了详细的规定,可以看出的趋势是这些自贸协定中有关数据跨境流动的规定是以欧美发达国家是占据主导地位的,而发展中国家在数据跨境流动中是不占据优势地位,在相关规定的指定上话语权并不高,主要依附于发达国家的规则输出。不同于GDPR和美国相应规则,RCEP充分尊重成员国的法律和政策,兼顾数据的自由流动和充分保护,体现的是开放和包容的理念,也突破了欧美数据跨境流动模式规制,产生了重要影响。
4. 电子商务下我国数据跨境流动的完善路径
4.1. 数据跨境流动保护新思路
1. 针对超级互联网平台适用更严格的的监管方式
大型平台是集中消费者、商家、物流、交易等多重要素的数字基础设施。由于用户数量庞大、业务类型复杂、资本运作集中、性质界定模糊,超级互联网平台治理难度较大[7]。在过去十年的时间里,像亚马逊、谷歌、微信、淘宝等大型数字平台已经成为人们日常生活中的常态,并在一定程度上重塑了人与世界的关系。而在这个重塑中,政府在数字平台和服务治理上反映较为缓慢。而各国政府对大型平台的态度并不一致,有些国家认为平台对互联网的主导挑战了社会契约,有些则认为其是对中央权力作出了挑战,因此,不同的国家对互联网平台的治理做法各异。例如,欧盟对互联网平台采取了严格的共同监管模式,新加坡、尼日利亚等国家也在制定法律加强对互联网平台的监管。任何事物都有其双面性,互联网大型平台也不例外。如果互联网平台滥用其技术,随意收集数据,不保护用户权利,这可能会造成严重的后果,但是也要看到互联网平台所带来的经济效益。要求平台进行广泛的主动监控,将更宽泛的合法但有害的内容纳入监管范围因此,对于互联网大型平台,除了适用严格的行政监管,笔者认为到了一定时间段可以在一定程度上可以采用刑事处罚,对违反法律规定违规处理数据流动的企业负责人处以相应的刑事处罚。但是对于刑事处罚的行使需要特别谨慎,对之的适用需要诸多前置程序才可开启。
2. 加强数据跨境流动方面的企业合规指导
在大型互联网公司中存在还存在相应的法务部门,但是在小微科技企业中,在业务合规方面就非常需要法律方面的专业支持。在对科技公司进行相应要求的过程中,对不同层次的科技企业,需要用不同的政策方法去要求他们。专业的合规指导对于中小微企业乃至大型平台来说都是非常有必要的。企业在数据跨境流动过程中应首先主动识别敏感信息(包括敏感个人信息),企业在相关敏感信息出境之前,可以就该相关信息的定性问题提前与地方网信部门进行充分沟通,或对拟出境的个人信息采取脱敏处理乃至匿名化措施,降低其被认为敏感个人信息的可能。数据处理者有必要对境外接收方,以协议形式明确数据委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等。尽管没有法律强制性要求,参考个人信息安全规范和企业的良好合作实践,数据处理者与境外接收方仍宜订立数据处理协议以确定各方数据保护的权利、义务、责任。中国目前形成了全球最大的数字社会,大中小科技企业稳步推进跨境数据流动合规措施也有助于展示中国在数字治理方面的智慧。
4.2. 数据跨境流动司法救济方式的优化
数据跨境流动纠纷本身具有复杂性的特点,且由于目前的数字经济发展快,对事后纠纷解决希望效率高。根据该特点和要求,事后的司法救济中,不管是诉讼、调节、仲裁等都需要做好类别分类,从繁至简,促进简单案例的快速公正解决,严肃对待复杂案例的谨慎解决。在针对电子商务中数据跨境流动的纠纷解决,需要相应机关提升办事环节,优化解决事务的办事程序,没有必要用线下程序的就积极采用线上程序,缩短程序与程序间的时间流程。
4.3. 提高中国数据跨境流动规制方法的国际影响力
如笔者在上文数据跨境流动面临的挑战中提到的跨境数据流动事后救济国内外涉及的规范非常多。在这一具体情况下,为了促进我国数据经济的发展,保障数据跨境流动的正常开展,提高我国在数据跨境流动规制规范方面的国际影响力是重要的解决方法。
数据跨境流动监管在国际上暂时还没有形成一个统一适用的规制模式,欧盟在将政策和法律转化为技术标准方面是领先的,但中国在向发展中国家提供全面的数字技术和基础设施方面更胜一筹。加强国际合作,完善跨地区、跨国界的规则和平台衔接,是电子商务中数据跨境流动的痛点。在针对欧美在数据跨境流动方面的不同模式,中国亦要发挥自己的优势,进一步构建全球性、区域性的双多边数据互惠合作机制,建设国家高水平数据开放平台,参与国际数据流通与合作。随着我国数字化转型的加速,网络安全、数据安全正日益凸显出其重要价值和战略作用,既是电子商务等数字经济体的良性发展,更事关国家安全的有效保障。落实RCEP等双边、多边国际协定成员国在跨境电商等数字贸易行业的合作。在符合法律法规要求、确保安全的前提下,促进和规范数据跨境流动,允许跨境电商、跨境支付等应用场景数据有序自由流动。
5. 结语
随着电子商务数据跨境流动交易规模的不断扩大,我国在促进数据跨境安全、有序流动的目的上形成了系统规范的数据跨境流动管理法律制度体系。虽然在电子商务实践中,数据跨境流动仍然存在稳定性不够、衔接性欠缺的缺陷,但我国在应对这些缺陷上采用了更严格的监管方式并加强了企业在电子商务贸易中数据跨境流动的合规指导助力数据跨境流动的发展。在这个过程中总结和运用改革开放以来特别是新时代全面深化改革的宝贵经验,进一步推动数据要素市场化配置改革,统筹数字中国、数字经济和数字社会规划和建设,提高数据跨境流动规范的国际影响力,为中国现代化建设贡献数据力量。